I QR code possono essere rischiosi per la sicurezza delle imprese e degli utenti finali, lo sottolinea una ricerca MobileIron, fornitore di soluzioni per la sicurezza mobile, che ha coinvolto oltre 2100 professionisti negli Stati Uniti e nel Regno Unito.
Cresce l’utilizzo dei QR code
Nell’indagine è emerso che durante la pandemia Covid-19 i dispositivi mobile sono diventati ancora più importanti e radicati nella vita di tutti e quasi la metà (47%) degli intervistati ha dichiarato un incremento dell’uso dei codici QR.
Attualmente i dipendenti utilizzano maggiormente i device mobile, in molti casi, i propri (non sicuri), per connettersi con gli altri, interagire con una varietà di applicazioni e servizi in cloud e rimanere produttivi mentre lavorano in luoghi diversi dall’azienda. Gli utenti stanno infatti utilizzando i loro dispositivi mobile anche per scansionare i codici QR al di fuori del lavoro, mettendo a rischio se stessi e le risorse aziendali.
Qualche dato nello specifico: l’84% delle persone ha già scansionato un codice QR in passato, il 32% nell’ultima settimana e il 26% nell’ultimo mese.
Negli ultimi sei mesi, il 38% degli intervistati ha eseguito la scansione di un codice QR in un ristorante, bar o caffè; il 37% degli intervistati ha eseguito la scansione di un codice QR presso un rivenditore e il 32% ha eseguito la scansione di un codice QR su un prodotto di consumo.
Il 53% degli intervistati vorrebbe che i codici QR siano utilizzati in modo più ampio in futuro. Il 43% degli intervistati prevede di utilizzare un codice QR come metodo di pagamento. Se fosse possibile, il 40% degli intervistati vorrebbe votare utilizzando un codice QR ricevuto per posta.
A fronte di questa situazione, il 51% dichiara di non avere (o di non sapere se è installato) un software di sicurezza sui propri dispositivi.
Gli hacker, d’altro canto, stanno sfruttando le vulnerabilità di sicurezza che si sono inevitabilmente aperte durante la pandemia Covid-19, negli ultimi tempi infatti mirano ai dispositivi mobile con attacchi sempre più sofisticati. I dispositivi mobile sono bersagli interessanti per loro perché l’interfaccia stessa spinge gli utenti a intraprendere azioni immediate, limitando al contempo la quantità di informazioni disponibili.
Inoltre, gli utenti sono spesso distratti quando operano dai propri dispositivi mobile, il che li rende più propensi a cadere vittime di attacchi.
Quali sono i rischi legati ai codici QR code?
Quel che emerge dall’indagine MobileIron è che quasi tre quarti (71%) degli intervistati non è in grado di distinguere tra un QR code legittimo e uno malevolo, mentre il 67% degli intervistati è in grado di distinguere tra un URL legittimo e uno malevolo.
Mentre la maggior parte degli intervistati (67%) è consapevole del fatto che i codici QR possono aprire un URL, è meno consapevole delle altre azioni che i codici QR possono attivare.
Solo il 19% degli intervistati ritiene che la scansione di un codice QR possa avviare un’e-mail; il 20% ritiene che la scansione di un codice QR possa avviare una telefonata; e il 24% ritiene che la scansione di un codice QR possa avviare un messaggio di testo.
Il 51% degli intervistati nutre preoccupazioni in merito all’uso dei codici QR per quanto riguarda la privacy, la sicurezza, le questioni finanziarie o di altro tipo, ma li usa comunque; il 34% non si preoccupa dell’uso dei codici QR.
Il 35% degli intervistati non è sicuro che gli hacker possano prendere di mira le vittime utilizzando un codice QR.
Il punto di vista di MobileIron
“Le aziende – ha dichiarato Alex Mosher, Global Vice President of Solutions di MobileIron – devono ripensare urgentemente le loro strategie di sicurezza concentrandosi sui dispositivi mobile. Allo stesso tempo, devono dare priorità a un’esperienza utente con soluzione di continuità. Una gestione unificata degli endpoint può fornire i controlli IT necessari per proteggere, gestire e monitorare ogni dispositivo, utente, app e rete utilizzata per accedere ai dati aziendali, massimizzando al contempo la produttività. Possono anche basarsi su UEM che difende dalle minacce ai device molto utile per rilevarle e correggerle rapidamente, compresi i codici QR dannosi, anche quando un dispositivo è offline”.
MobileIron Threat Defense può proteggere i dispositivi dagli attacchi sferrati a livello di dispositivo, di rete e di applicazione. E non è necessaria alcuna azione da parte dell’utente finale per distribuire MTD sui dispositivi che sono iscritti al client UEM di MobileIron; questo viene gestito in remoto dai reparti IT. Di conseguenza, le organizzazioni, assicura il vendor, possono raggiungere il 100% di utilizzo da parte degli utenti, senza alcun impatto sulla produttività.